Web敏感信息监测优化方法分析-计算机应用技术专业论文.docxVIP

1 1 绪论 西安科技大 西安科技大学硕士学位论文 PAGE 1 PAGE 1 PAGE PAGE 2 来 来 孤 1 绪论 1.1 选题的背景和意义 随着信息化的进程和互联网的普及，越来越多的组织成为各种网络威胁的受害者。 根据 CERT/CC[1]的研究调查，近年来，网络攻击行为每年以指数级的速度增长。因此， 使政治、军事和经济等关键领域的信息系统能够发现和抵御这些攻击行为变得越来越重 要。 网络入侵手段正在呈现多元化、复杂化、智能化、且行为特征不断变化和更新。单 纯 依 赖 传 统 的静 态 防 御技 术 已 难以 胜 任 网络 安 全 的 需 求。 网 络 入侵 检 测 (Network Intrusion Detection)是近年来发展起来的继“防火墙”、“访问控制”、“数据加密”等传统 静态安全保护措施一种主动防护机制，通过从系统内部和网络中收集、分析是否有针对 计算机客户端和网络各层资源的恶意行为问题，并对这些非法行为进行阻止或提醒用户 进行处理，是一种集检测、记录、报警、响应于一体的动态安全技术。和防火墙不同， 网络入侵检测系统不仅能检测来自外部的入侵行为，同时也可以监督来自内部的攻击和 误操作行为。网络入侵检测系统作为网络防火墙的有力补充，已经成为网络管理的关键 组成部分。 目前应用最广的入侵检测系统是基于特征签名的方法，这种方法只能检测特征签名 库中已知的攻击，因此，特征签名库必须对新的入侵行为的特征进行手工更新。这些局 限性使基于数据挖掘的入侵检测系统的研究越来越受到重视。采用数据挖掘技术的网络 入侵检测系统可以充分发挥数据挖掘处理海量数据的优势，能够从数据挖掘中发现人们 未知的知识和规律，提高检测的效率和准确性。 数据挖掘中的大多数算法主要是发现“大模式”，即发现数据的主要特征，然而数 据集中常常包含与一般数据存在较大偏差一些数据对象，这些数据对象被称为孤立点。 在网络活动中，正常行为远多于入侵行为，即入侵行为与正常行为是不一致的，是一种 “小模式”，而孤立点发现算法可以挖掘这些“小模式”的异常，更符合入侵行为的本 质,因此将孤立点算法应用于网络入侵异常检测是非常有意义的。基于数据挖掘的误用 入侵检测主要通过数据挖掘分类算法对已标注好的训练集进行学习，因此，训练集的质 量将直接影响入侵检测系统的检测效果，但在实际应用中，要收集纯净的训练集往往不 太容易，训练集的标注亦需要很大的人力和物力。由于只能通过学习得到的规则库来识 别入侵行为，误用入侵检测不能发现规则库里没有的新的未知的入侵行为，然而现在的 入侵行为是正在以惊人的速度不断变化和更新的。我们采用无监督的孤立点发现算法 进行网络入侵异常检测，不需要任何训练集来学习和生成规则库，而是直接通过挖掘 公M 公 M 立点来发现异常，可以发现新的未知的入侵行为。针对目前新的入侵行为正在日益增多 和不断变化特征的特点，采用孤立点算法进行异常检测具有很重要的价值。 近年来，一种新的数据应用正受到广泛关注，在这些应用中数据不再保存持久不变 的关系，而是规模宏大，连续，快速，随时间变化的数据流。这些应用包括：金融应用、 网络监控、网络安全、通信数据管理、互联网应用、工业生产、传感器网络等。随着数 据流技术研究的发展，研究如何在数据流环境下如何能够准确识别和发现孤立点正受到 广泛的关注。因此，我们采用动态孤立点算法来识别网络连接数据流中的入侵行为，具 有很好的理论和实践意义。 1.2 国内外相关研究进展 1980 年 4 月，James P. Anderson[2]在为美国空军做的一份题为“计算机安全威胁的 监察”的技术报告中提出必须建立为专职系统安全人员提供安全信息的系统审计机制， 被认为是网络入侵检测的最早论述。1986，SRI 的 Dorothy E. Denning[3]深入探讨了入侵 检测技术，探索了行为分析的基本机制，首次将入侵检测的概念作为一种计算机系统安 全措施提出，并且建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测 模型。与传统的加密和访问控制相比 IDS 是全新的计算机安全措施。1988 年，Teresa Lunt 在 Denning 提出的网络入侵检测模型上进一步改进，并创建了 IDES ( Intrusion Detection Expert System ) [4]，提出了与系统无关的实时检测思想。 1998 年，Wenke Lee 等人[5]给出了将数据挖掘技术应用于入侵检测系统的综述，并 设计了使用数据挖掘技术进行入侵检测的框架[6]，系统的精度和可伸缩性得到了提高， 其工作主要是将关联规则挖掘和频繁情节模式挖掘应用到入侵检测方法中，并通过规则 学习器来表述入侵检测；之后，针对入侵检测数据量大以及训